In augustus 2019 heeft de Autoriteit Persoonsgegevens (AP) de eerste gedragscode onder de AVG goedgekeurd, zij het onder voorbehoud. Deze Data Pro Code is opgesteld door NLdigital (tot voor kort Nederland ICT). Het fenomeen 'AVG-gedragscode' lijkt een bredere bekendheid te krijgen. Een goede aanleiding voor Walter van Holst om de AVG-gedragscode onder de loep te nemen. Hoe positioneert deze zich ten opzichte van wat er al bestaat aan formele standaarden en hoe verhoudt hij zich tot certificeringen in de AVG?

Gedragscodes onder de Wbp

Onder de (Nederlandse) voorganger van de Algemene verordening gegevensbescherming (AVG), de Wet bescherming persoonsgegevens (Wbp), bestond het fenomeen 'wettelijk ingebedde gedragscode' voor de verwerking van persoonsgegevens. De gedachte was dat dit een gedragscode was voor een organisatie of een groep van organisaties met een meer praktische vertaling van de wet. Zo’n gedragscode was onder de Wbp niet vrijblijvend. Na goedkeuring door de toezichthouder (de AP) verbond zo’n gedragscode de deelnemende organisaties extern. Het Verbond van Verzekeraars had bijvoorbeeld een gedragscode voor de verzekeringsbedrijven, waarop een verzekerde zich kon beroepen bij een geschil met een verzekeraar die zich aan deze gedragscode had gecommitteerd. Wbp-gedragscodes waren betrekkelijk zeldzaam. Voornamelijk in de financiële sector waren er een aantal. Waar is dit gebrek aan populariteit aan te wijten? Vermoedelijk komt het doordat voor de inwerkingtreding van de AVG er in andere sectoren dan de zorg en de financiële sector relatief weinig bestuurlijke aandacht was voor privacy als onderwerp.